DFN-CERT

Advisory-Archiv

2022-1511: Cisco Unified Communications Produkte: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebiger Befehle

Historie:

Version 1 (2022-07-07 13:27)
Neues Advisory

Betroffene Software

Netzwerk
Server

Betroffene Plattformen

Hardware
Netzwerk
Cisco

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebige Befehle auszuführen, Informationen auszuspähen und Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die beiden XSS-Schwachstellen erfordern die Interaktion eines Benutzers und können Einfluss auf andere Komponenten haben.

Cisco informiert über die Schwachstellen in Cisco Unified Communications Manager (Unified CM), Cisco Unified Communications Manager Session Management Edition (Unified CM SME) und Cisco Unity Connection und veröffentlicht die Versionen 12.5(1)SU6 und 14SU2 als Sicherheitsupdates. Für Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) stehen die Versionen 11.5(1)SU11, 12.5(1)SU6 und 14SU2 als Sicherheitsupdates bereit.
Für alle Produkte ist aber zu beachten, dass lediglich die Version 14SU2 eine vollständige Absicherung gegenüber den derzeit bekannten Schwachstellen darstellt, da manche Schwachstellen in den vorhergehenden Versionen nicht mehr behoben werden, sondern als Mitigation das Update auf eben jenes Release erfordern.

Schwachstellen:

CVE-2022-20752

Schwachstelle in Cisco Unified Communications Produkten ermöglicht Ausspähen von Informationen

CVE-2022-20791

Schwachstelle in Cisco Unified Communications Produkten ermöglicht Ausspähen von Informationen

CVE-2022-20800

Schwachstelle in Cisco Unified Communications Produkten ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-20815

Schwachstelle in Cisco Unified Communications Produkten ermöglicht Cross-Site-Scripting-Angriff

CVE-2022-20859

Schwachstelle in Cisco Unified Communications Produkten ermöglicht Ausführen beliebiger Befehle

CVE-2022-20862

Schwachstelle in Cisco Unified Communications Produkten ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.